1405 Vetor Processo 274552 Loc 2022.YTYOC - OSRLP

PODER JUDICIÁRIO FEDERAL
JUSTIÇA DO TRABALHO ROBSON

CLEITON
TRIBUNAL REGIONAL DO TRABALHO DA 9ª REGIÃO NOVAK 25
/04/2022
SGSI TRT9
PAULO
Processo: Processo de Contratação - Solução de TI - Teste de ROBERTO

NUNES 25
/04/2022
DSIR TRT9
Penetração (Pentest) (Proc. N° 274552)
Estudo Técnico Preliminar de TI - Análise de Viabilidade (ID 7457892) PAULO
CELSO
GERVA 26
/04/2022
SLC TRT9
Especificação dos Requisitos da Demanda (ID 7457893)
Requisitos de Negócio - Integrante Demandante:
1) Garantir a adequação, modernização e segurança da infraestrutura, sistemas,

ativos e serviços de TIC.
2) Assegurar o controle, a conformidade, a rastreabilidade e eficiência sobre os ativos

de Tecnologia da Informação e Comunicação - Política Nº 5 de 2017 - Gestão de
Ativos de Tecnologia da Informação.
3) Realizar varreduras em busca de vulnerabilidades - Portaria CNJ 162/2021 -

ANEXO IV - Proteção de Infraestruturas Críticas de TIC - Controles de Gerenciamento
Contínuo de Vulnerabilidades.
Requisitos de Capacitação - Integrante Demandante e Técnico:
A contratação do serviço não envolverá treinamento ou capacitação para membros

do CONTRATANTE.
Requisitos Legais - Integrante Demandante:
1) Lei de Licitações e Contratos Administrativos - Lei nº 14.133/2021.
2) Resolução CNJ 182/2013 que dispõe sobre diretrizes para as contratações de

Solução de Tecnologia da Informação e Comunicação.
Requisitos de Manutenção - Integrante Demandante:
1) A CONTRATADA deverá prestar suporte ao CONTRATANTE durante o período de

vigência do contrato, através de telefone e correio eletrônico.
Documento "Estudo Técnico Preliminar de TI - Análise de Viabilidade", no sistema Vetor, processo "Processo de
Contratação - Solução de TI - Teste de Penetração (Pentest) (Nº 274552)". Para verificar a autenticidade desta cópia,
informe o código 2022.YTYOC.OSRLP no endereço eletrônico: https://www.trt9.jus.br/vetor/doc_assinado
2) Durante a vigência contratual, a CONTRATADA deverá atender número ilimitado de
incidentes de suporte, desde que relacionados aos serviços a serem executados.
ROBSON
3) O suporte técnico deverá ocorrer, pelo menos, em regime “8x5" (8 horas por dia, 5 CLEITON
NOVAK 25
/04/2022
dias por semana). SGSI TRT9
PAULO
ROBERTO
NUNES 25
/04/2022
Requisitos Temporais - Integrante Demandante: DSIR TRT9
1) A CONTRATADA deverá participar de reunião com equipe técnica da PAULO

CELSO
CONTRATANTE, a ser realizada em até 5 (cinco) dias úteis da assinatura do contrato. GERVA 26
/04/2022
SLC TRT9
2) O CONTRATANTE deverá aprovar os documentos apresentados pela

CONTRATADA em até 5 (cinco) dias úteis da realização da reunião.
3) A CONTRATADA deverá concluir a execução dos testes de intrusão em até 30

(trinta) dias úteis da aprovação pelo CONTRATANTE dos documentos apresentados
na reunião de planejamento.
4) A CONTRATADA deverá entregar ao CONTRATANTE relatório de execução dos

testes de intrusão (pentest) em até 10 (dez) dias úteis da conclusão do pentest.
5) O CONTRATANTE deverá avaliar e aprovar o relatório em até 5 (cinco) dias úteis

da entrega pela CONTRATADA.
6) A CONTRATADA deverá realizar apresentação do resultado dos testes em até 5

(cinco dias úteis) após a aprovação dos relatórios de execução dos testes de intrusão.
7) O contrato terá vigência de 120 (cento e vinte) dias, sendo que todas as atividades
requisitadas contidas no contrato deverão ser executadas durante esse período.
Requisitos de Segurança da Informação - Integrante Demandante e Técnico.:
1) A CONTRATADA deverá seguir todas as Normas, Políticas e Procedimentos de

Segurança, aplicáveis, estabelecidos pelo CONTRANTE para execução do Contrato.
1.1) Observar, principalmente, a Política de Segurança da Informação (PSI)

formalizada pela Resolução Administrativa (RA) 85/2018 - Política Nº 28 – Institui
A Política de Segurança da Informação (PSI) e o Sistema de Gestão de
Segurança da Informação (SGSI): https://www.trt9.jus.br/portal/arquivos/6774415
1.2) Demais políticas podem ser acessadas pelo seguinte link: https://www.trt9.
jus.br/transparencia/transparenciaPoliticasTIC.xhtml
2) A CONTRATADA deverá guardar sigilo sobre dados e informações obtidos em
razão da execução dos serviços contratados ou da relação contratual mantida com o
ROBSON
CONTRATANTE. CLEITON
NOVAK 25
/04/2022
SGSI TRT9
2.2) Todos os profissionais da CONTRATADA envolvidos na execução dos

serviços, desde o início ou alocados posteriormente, deverão assinar o TERMO PAULO
ROBERTO
DE COMPROMISSO E SIGILO, comprometendo-se a manter sigilo de todas as NUNES 25
/04/2022
DSIR TRT9
informações que tenham acesso durante a execução dos serviços.
3) A CONTRATADA deverá zelar para que todos os eventuais privilégios de acesso a PAULO
CELSO
GERVA 26
sistemas concedidos, informação e qualquer outro recurso do CONTRATANTE sejam /04/2022
SLC TRT9
utilizados exclusivamente na execução dos serviços e pelo tempo estritamente
essencial à realização deles.
Requisitos Sociais, Ambientais e Culturais - Integrante Demandante:
1) Estar habilitada juridicamente e em regularidade fiscal, social e trabalhista,

conforme Lei de Licitações e Contratos Administrativos - Lei nº 14.133/2021.
2) Cumprir o disposto no Inc. XXXIII, Art. 7º da Constituição Federal de 1988, quanto

ao emprego de menores.
Requisitos de Arquitetura Tecnológica - Integrante Técnico:
CARACTERÍSTICAS DOS SERVIÇOS
Reunião inicial de planejamento o teste de intrusão (pentest).
1. A CONTRATADA deverá participar de reunião com equipe técnica

do CONTRATANTE, a ser realizada em até 5 (cinco) dias úteis da assinatura do
contrato;
2. A reunião poderá ser realizada remotamente, por videoconferência, em data a
ser aprovada pelo CONTRATANTE;
3. A CONTRATADA deverá apresentar ao CONTRATANTE proposta de
cronograma, detalhando as atividades a serem executadas;
4. A CONTRATADA deverá apresentar ao CONTRATANTE detalhes sobre a
metodologia utilizada na execução dos serviços;
5. A CONTRATADA deverá informar a equipe responsável pela execução dos
serviços, bem como o papel de cada membro;
6. Os documentos apresentados pela CONTRATADA na reunião deverão ser
entregues ao CONTRATANTE em formato PDF, assim como em formato
editável (DOC/DOCX); ROBSON
CLEITON
7. O CONTRATANTE deverá aprovar os documentos apresentados pela NOVAK 25
/04/2022
CONTRATADA em até 5 (cinco) dias úteis da realização da reunião; SGSI TRT9
8. Todos os profissionais da CONTRATADA envolvidos na execução dos serviços,

desde o início ou alocados posteriormente, deverão assinar TERMO DE PAULO
ROBERTO
NUNES 25
COMPROMISSO E MANUTENÇÃO DE SIGILO se comprometendo a manter /04/2022
DSIR TRT9
sigilo de todas as informações que tenham acesso durante a execução dos

serviços. PAULO
CELSO
GERVA 26
/04/2022
Execução dos testes de intrusão (pentest). SLC TRT9
1. A CONTRATADA deverá concluir a execução dos testes de intrusão em até 30

(trinta) dias úteis da aprovação pelo CONTRATANTE dos documentos
apresentados na reunião de planejamento;
2. Os testes serão do tipo externo, ou seja, com origem a partir da Internet, e terão
como objetivo principal identificar, mapear e explorar vulnerabilidades nos
sistemas e serviços acessíveis pela Internet em eventuais ativos de
infraestrutura tecnológica expostos do CONTRATANTE, através de técnicas e
ferramentas específicas para tentar obter acesso não autorizado e privilegiado
aos ativos e informações da instituição;
3. As atividades do teste de intrusão (pentest) deverão ser realizadas seguindo um
caminho de menor resistência, onde deverá ser explorado o ambiente
(aplicações e infraestrutura) ao máximo, buscando alcançar a camada mais
interna possível.
4. As atividades realizadas durante os testes de intrusão não devem, em qualquer
hipótese, se resumir ao uso de ferramentas automatizadas, sendo obrigatória a
atuação de equipe especializada na realização de análises dessa natureza,
devendo esta realizar análise qualitativa que extrapolem os possíveis relatórios
gerados por ferramentas;
5. Todas as atividades realizadas durante o teste de intrusão (pentest) bem como
seus resultados devem ser registrados em meio apropriado (logs, gravações de
telas, relatórios de ferramentas automatizadas etc) independente do sucesso dos
mesmos. Tais registros/evidências devem ser entregues junto com o relatório do
teste de intrusão (pentest);
6. A execução dos testes não deverá comprometer ou prejudicar os sistemas e
ativos de infraestrutura tecnológica do CONTRATANTE, exceto quando
expressamente autorizado;
7. Deverá ser realizado ataque de negação de serviço que deverá durar no máximo
5 (cinco) minutos, após ser expressamente autorizado e
agendado pelo CONTRATANTE;
8. A execução dos testes não deverá modificar ou excluir informações e dados nos
sistemas e ativos do CONTRATANTE;
9. Todas as fases dos testes de intrusão poderão ser acompanhadas e/ou
supervisionadas, a critério do CONTRATANTE, por membro destacado do corpo
técnico interno da organização; ROBSON
CLEITON
10. Qualquer software ou hardware necessário para a execução dos serviços será NOVAK 25
/04/2022
de responsabilidade do CONTRATADA; SGSI TRT9
11. A execução dos testes incluirá, no mínimo, as seguintes atividades:

PAULO
ROBERTO
11.1) Verificação de segurança de ativos tecnológicos relacionados ao escopo; NUNES 25
/04/2022
DSIR TRT9
11.2) Simulação de ataques com o intuito de testar a segurança das informações
da instituição;
PAULO
11.3) Medição do nível de exposição das informações para ameaças oriundas do CELSO
GERVA 26
/04/2022
ambiente externo da organização, testando a confidencialidade das informações SLC TRT9
envolvidas;
11.4) Identificação e classificação dos riscos das vulnerabilidades encontradas
de acordo com o impacto potencial.
12. Os testes poderão explorar elementos relacionados ao escopo, como:
12.1) Aplicações web;

12.2) Portais webs;
12.3) Webservices;
12.4) Sockets;
12.5) Serviços web diversos detectados;
12.5) Componentes de infraestrutura (firewalls, roteadores, bancos de dados,
serviços de resolução de nomes, serviços de diretório, storages, máquinas
virtuais, sistemas operacionais, dentre outros);
13. Os testes devem incluir minimamente as vulnerabilidades listadas em “2021

CWE Top 25 Most Dangerous Software Weaknesses “ e "OWASP Top 10 - 2017”, não
se limitando a estas;
13.1 Tanto o Testing Guide Versão 4 da OWASP como o CWE – Common

Weakness Enumerations, do MITRE, poderão ser utilizados como referenciais de
testes que deverão ser executados.
14. Os testes de intrusão (pentest) devem cobrir, o mínimo, as fases descritas

abaixo e seus respectivos testes:
Fase de teste Teste Descrição
Consiste em navegar pela aplicação obtendo

Observação direta
acesso a todos os recursos disponíveis
do alvo
publicamente.
Reconhecimento
Utilizar sites de busca, como Google, para
através de Sites
descobrir informações disponíveis (ou
de Busca ROBSON
vazadas) de aplicações da CONTRATANTE. CLEITON
NOVAK 25
/04/2022
Buscar através de “ search engines ” SGSI TRT9
especializados como o Shodan assinaturas

de serviços e indícios de má configuração. PAULO
ROBERTO
NUNES 25
/04/2022
DSIR TRT9
Realizar varreduras na superfície da

Reconhecimento Identificação de aplicação buscando os pontos de entrada PAULO
CELSO
GERVA 26
pontos de entrada explícitos e implícitos mapeando os ataques /04/2022
SLC TRT9
de injeção modelados.
(Obter o
máximo de Identificar versões de ativos envolvidos
i n f o r m a ç õ e s Identificação de (servidor web, servidor de aplicação, sistema
sobre os ativos v e r s õ e s ( operacional, banco de dados e CMS) para
contemplados) fingerprinting) correlação com as vulnerabilidades
conhecidas e documentadas.
Enumerar as aplicações hospedadas no

Descoberta de
mesmo servidor que possam servir de porta
Aplicações
de entrada.
Análise d e Analisar o conteúdo das mensagens geradas

Mensagens de Erro em situações inesperadas pela aplicação.
Procurar por serviços desatualizados, sem

Descoberta de
patches, vulneráveis, desprotegidos,
portais obsoletos e
obsoletos, com configuração inadequada e
desprotegidos
com a existência de backdoors.
Verificação de
Avaliar o suporte ao uso de tais protocolos e
Suporte a SSL /
da maneira como estão implementados.
TLS
Testar a configuração da comunicação entre

Teste de Acesso
a aplicação e o banco de dados, avaliando o
direto ao Banco de
comportamento do Banco de Dados
Dados (DB
mediante requisições diretas simulando
Listener)
serem originadas na aplicação.
Verificar a aderência com boas práticas de
segurança por parte da configuração
Análise das descobertas dos ativos envolvidos (servidor ROBSON
CLEITON
NOVAK 25
Configurações da web, servidor de aplicação, sistema /04/2022
SGSI TRT9
Infraestrutura operacional, banco de dados, CMS e etc)

para correlação com vulnerabilidades PAULO
ROBERTO
conhecidas e documentadas. NUNES 25
/04/2022
DSIR TRT9
Buscar por informações sobre as tecnologias PAULO

CELSO
Teste d e utilizadas através da identificação das GERVA 26
/04/2022
SLC TRT9
Manuseio de extensões dos arquivos presentes na
extensões de aplicação. Realizar uma avaliação de como a
arquivos aplicação manipula arquivos referenciados
diretamente com extensões inesperadas.
Teste de
configuração
Identificar os arquivos presentes (e
acessíveis) na aplicação em questão mesmo
Análise de
que não sejam diretamente referenciados.
(Avaliar as Arquivos não
Arquivos de rascunho, cópias de segurança
configuraçõesreferenciados,
e arquivos obsoletos podendo expor
dos ativos obsoletos e
informações sensíveis caso tenham suas
envolvidos) backups
permissões de acesso negligenciadas e que
estejam acessíveis via Internet.
Identificar as interfaces administrativas

Identificação de
através de caminhos comuns e referências
Interfaces
diretas. As interfaces identificadas podem
administrativas
ser submetidas a ataques de força bruta.
Verificação de Verificar os métodos HTTP suportados pelo

Métodos Servidor. Identificar os métodos
suportados pelo potencialmente perigosos e de
servidor vulnerabilidade de Cross Site Tracing (XST).
Verificar a existência de bugs

/vulnerabilidades/erro de configuração que
permita ações do tipo buffer overruns e race
conditions, manipulação de DNS (dns
Verificação de spoofing), acessos privilegiados a servidores
configurações de (Active Directory, Web Servers, E-mail etc),
servidores e redes anomalias de roteamento, componentes que
possam ser utilizados como vetor de ataque,
vulnerabilidades associadas a¿
personificação de máquinas
confiadas (trusted hosts). ROBSON
CLEITON
NOVAK 25
/04/2022
SGSI TRT9
Verificar os dados que os usuários inserem

Teste sobre canais em formulários web a fim de se autenticar na PAULO
ROBERTO
de transporte de aplicação que são transmitidos usando NUNES 25
/04/2022
DSIR TRT9
credenciais protocolos seguros que os protejam de
ataques de captura de dados.
PAULO
CELSO
GERVA 26
/04/2022
SLC TRT9
Teste d e Verificar a possibilidade de coleta de nomes
enumeração de de usuários válidos através da interação com
usuários o mecanismo de autenticação da aplicação.
Teste de
Identificar as contas de usuário padrão ou
descoberta de
combinações usuário/senha fáceis de
usuários comuns /
adivinhar.
padrão
Teste de força Identificar combinações usuário/senha

bruta utilizando métodos de busca exaustiva.
Teste visando
Identificar os recursos da aplicação que não
contornar do
estejam adequadamente protegidos pelo
esquema de
esquema de autenticação.
autenticação
Testes de
Autenticação
Teste sobre Avaliar os métodos de redefinição
funções de /recuperação de "senhas esquecidas" e se a
a r m a z e n a m e n t o aplicação permite que o usuário armazene
(Avaliar os /redefinição de senhas no navegador (função "lembrar
esquemas e senhas senha").
controles de
autenticação)
Teste de
Verificar se as funções de logout e de uso
gerenciamento de
de cache pelo navegador estão
logout e cache do
adequadamente implementadas.
navegador
Identificar os vetores de ataque sobre

implementações de CAPTCHA ("Completely
Automated Public Turing test to tell
Teste sobre o Computers and Humans Apart").
CAPTCHA
ROBSON
CLEITON
NOVAK 25
/04/2022
SGSI TRT9
Analisar a presença/configuração de
cenários do tipo: Geradores de senha PAULO
ROBERTO
Teste sobre descartável ( One-time password ), NUNES 25
/04/2022
DSIR TRT9
autenticação em Dispositivos de identificação por criptografia,
múltiplas etapas Verificar as informações pessoais que
somente o usuário legítimo deveria saber e PAULO
CELSO
GERVA 26
etc. /04/2022
SLC TRT9
Identificar as condições que produzem

Teste sobre
resultados inesperados quando o momento
condições de
em que uma ação ocorre, influencia outras
corrida
ações.
Teste d e Verificar a possibilidade de executar ataques

adulteração de de adulteração de caminhos de diretórios (
Testes d e caminhos de path traversa attack) e acessar informações
Autorização diretórios protegidas.
Teste de contorno Verificar o esquema de autorização a fim de

(Avaliar os do esquema de confirmar se cada perfil/privilégio tem acesso
esquemas e autorização apenas a funções/recursos esperados.
controles de
autorização)
Verificar a possibilidade de um usuário
Teste de escalada
modificar seus privilégios/perfil na aplicação
de privilégios
através da manipulação de requisições.
Cross Site
Manipular as entradas passando instruções
Scripting Refletido
maliciosas através de scripts destinados ao
/ Armazenado /
navegador da vítima.
baseado em DOM
Injeção de
instruções SQL / Manipular as entradas passando instruções
LDAP / ORM / maliciosas para serviços internos.
XML / SSI / XPath
Injeção de código Manipular as entradas passando comandos
e comandos de para serviços que se comunicam com a
sistema aplicação ou diretamente para o sistema ROBSON
CLEITON
Testes d e operacional e operacional. NOVAK 25
/04/2022
de serviços
SGSI TRT9
Validação
Dados
PAULO
ROBERTO
Verificar a presença de vulnerabilidades que NUNES 25
/04/2022
DSIR TRT9
Estouro de buffer permitam a execução de ataques de estouro
(buffer overflow) de buffer (buffer overflow) sobre o servidor
PAULO
web. CELSO
GERVA 26
/04/2022
SLC TRT9
Avaliação do processo de validação da

Manipulação de
aplicação sobre entradas geradas por ela
Validação Interna
mesma.
Manipular os dados contidos em cabeçalhos

HTTP Splitting de requisições HTTP, avaliando o processo
/Smuggling de validação da aplicação sobre entradas
geradas por ela mesma
Verificar a inclusão de entradas contendo

Verificação de
SQL Wildcards a fim de forçar o banco de
consultas com
dados da aplicação a fazer consultas SQL
SQL Wildcard
extremamente custosas à CPU.
Teste d e Verificar se é possível trancar contas de

trancamento de usuários válidos através de sucessivas
contas de usuários tentativas mal sucedidas de autenticação.
Teste de estouro Verificar a presença de vulnerabilidades que

de buffer ou permitam alocar objetos na memória
Testes de
alocação de massivamente a ponto de esgotar os
Negação de
memória recursos do servidor web.
Serviço
Teste de injeção Avaliar se é possível um usuário injetar

de condições de código contendo laços que provoquem
(Identificar vulne
laço (loop) queda de desempenho da aplicação.
rabilidades
dentro da
aplicação web Avaliar se é possível um usuário injetar
que possa dados ou gerar logs que o servidor web
permitir a um Teste de escrita armazena em disco a ponto de esgotar o
usuário de dados no disco espaço de disco comprometendo a
malicioso tornar disponibilidade da aplicação. ROBSON
CLEITON
determinada NOVAK 25
/04/2022
SGSI TRT9
funcionalidade
Avaliar se é possível alocar grandes massas
ou até¿ o
Teste d e de dados em objetos de sessão de usuário a PAULO
website inteiro ROBERTO
a r m a z e n a m e n t o fim de esgotar os recursos de memória do NUNES 25
/04/2022
indisponível) DSIR TRT9
de dados de servidor web e verificação quanto ao
sessão e liberação tratamento da liberação de recursos pela
PAULO
de recursos aplicação, que podem provocar condições de CELSO
GERVA 26
esgotamento de recursos. /04/2022
SLC TRT9
Os testes de invasão que possam levar a

negações de serviço (Denial of Service –
DoS - - e DDoS – Distributed Denial of
Testes d e Service) deverão ser realizados após
negação de serviço autorização explícita da CONTRATANTE,
que definirá os dias, horários e tempo
máximo de indisponibilidade do serviço
durante a execução dos testes.
Teste de coleta de Coletar as informações sobre os pontos de

informações do entrada e meios de comunicação do web
web service service.
Verificar as informações contidas no WSDL

em busca de pontos de entrada e tentativa
Teste do WSDL de realizar operações não previstas como
requisições SOAP padrão a fim de obter
informações confidenciais.
Avaliar se é possível enviar uma mensagem

XML muito grande ou mal formada a fim de
Teste estrutural de provocar uma condição de negação de
XML serviço devido a queda de desempenho do
servidor causada pelo alto processamento
do parser XML ou esgotamento de memória.
Verificar se é possível a execução de

ataques como injeção de SQL, de XPath, de
Testes de Web
Services comando do sistema operacional, ataques
de estouro de buffer, entre outros, sobre o
Teste ao nível de servidor que hospeda o web service e as
conteúdo do XML aplicações que o utilizam.
ROBSON
CLEITON
NOVAK 25
/04/2022
SGSI TRT9
Verificar se é possível a execução de

Teste d e ataques como injeção de SQL, de XPath, de PAULO
ROBERTO
NUNES 25
parâmetros HTTP comando do sistema operacional, ataques /04/2022
DSIR TRT9
/REST de estouro de buffer, entre outros, utilizando
uma requisição GET do HTTP.
PAULO
CELSO
GERVA 26
/04/2022
SLC TRT9
Teste de envio de
Avaliar se é possível enviar arquivos
arquivos
maliciosos à web services que recebem
maliciosos ao web
arquivos.
services SOAP
Verificar se é possível reenviar requisições

Teste de ataque
válidas ao web service, visando assumir a
de replay
identidade de um usuário válido
Testes sobre Teste sobre Verificar as vulnerabilidades relacionadas à

APEX v u l n e r a b i l i d a d e s exposição de funções internas da aplicação (
do APEX client-side functions), URLs inseguras etc.
(Identificar vulne
rabilidades
Verificar a execução de ataques sobre
específicas de
Teste sobre APEX aplicações web tradicionais sobre as que
APEX (Oracle
utilizam APEX.
Application
Express)
Análise d e Identificação dos atributos usados para

Esquema de gerenciamento de sessão. Enumeração de
Gerenciamento de credenciais e mecanismos de controle
Sessão utilizado.
Análise d e Análise da configuração dos atributos de

Atributos utilizados controle utilizados nos cookies presentes nas
em Cookies transações com a aplicação.
Avaliação do comportamento da aplicação
Teste d e Teste de fixação no que diz respeito a renovação e
g e r e n c i a m e n t o de sessão reutilização de atributos de controle. ROBSON
de sessões CLEITON
NOVAK 25
/04/2022
SGSI TRT9
PAULO
Identificação de Avaliação da exposição de atributos de ROBERTO
NUNES 25
/04/2022
variáveis de controle e possibilidade de manipulação dos DSIR TRT9
sessão expostas mesmos.

PAULO
CELSO
GERVA 26
/04/2022
Avaliação da possibilidade de forçar um SLC TRT9
usuário desconhecido a executar ações

Teste de CSRF indesejadas na aplicação, ataque este
conhecido como Cross Site Request Forgery
(CSRF)
15. Caso algum teste solicitado não possa ser realizado, devido a escolha em
comum acordo da modalidade de pentest (Black, Gray ou White Box), o fato deve ser
informado pela CONTRATADA imediatamente após a reunião inicial.
Requisitos do Projeto de Implantação - Integrante Técnico:
1) Deverá haver a prestação de serviço especializado em teste externo de intrusão

(pentest) em aplicações e endereços de internet do Tribunal Regional do Trabalho da
9a Região, visando identificar, mapear e explorar possíveis vulnerabilidades nos
sistemas e serviços acessíveis pela Internet, e em eventuais ativos de infraestrutura
tecnológica expostos;
1.1) O formato de aplicação do Teste de Intrusão, a modalidade do Pentest -

Black Box, Gray Box ou White Box - deverá ser definido na reunião inicial do
projeto, em comum acordo entre as partes.
2) Estão incluídos neste objeto o planejamento dos testes, a execução dos testes
utilizando ferramentas e conhecimentos especializados, clarificação de dúvidas
durante todo o processo, confecção de relatórios, apresentações para demonstração
de resultados, bem como todas as atividades necessárias à execução do objeto
durante a vigência contratual;
3) O escopo dos serviços executados será limitado a:
3.1) Um domínio (perímetro externo);
3.2) Uma faixa de endereços válidos na Internet (máscara de 24 bits).
4) Os serviços executados pela CONTRATADA deverão observar as orientações e
técnicas de padrões internacionais tais como:
ROBSON
4.1) OSSTMM 3 (The Open Source Security Testing Methodology Manual); CLEITON
NOVAK 25
/04/2022
SGSI TRT9
4.2) NIST-SP 800-115 (Technical Guide to Information Security Testing and

Assessment); PAULO
ROBERTO
NUNES 25
/04/2022
4.3) OWASP TESTING GUIDE 4 (The Open Web Application Security Project); DSIR TRT9
4.4) ISO/IEC 27002:2013 (Código de prática para controles de segurança da PAULO

CELSO
informação). GERVA 26
/04/2022
SLC TRT9
Requisitos de Garantia e Manutenção - Integrante Técnico:
1) A CONTRATADA deverá prestar suporte ao CONTRATANTE durante o período de

vigência do contrato, através de telefone e correio eletrônico.
2) Durante a vigência contratual, a CONTRATADA deverá atender número ilimitado de

incidentes de suporte, desde que relacionados aos serviços a serem executados.
3) O suporte técnico deverá ocorrer, pelo menos, em regime “8x5" (8 horas por dia, 5
dias por semana).
Requisitos de experiência/formação da equipe que projetará, implantará e manterá -

Integrante Técnico:
A equipe técnica da CONTRATADA designada para a execução das atividades de

pentest deverá ser composta por profissionais que possuam, no mínimo, DUAS das
certificações listadas abaixo:
a) CPTE - CERTIFIED Penetration Testing Engineer - Mile2;

b) CISSP - Certified Information Systems Security Professional;
c) CPT - IACRB Certified Penetration Tester;
d) CEPT - Certified Expert Penetration Tester;
e) CMWAPT - Certified Mobile and Web Application Penetration Tester;
f) CRTOP - Certified Red Team Operations Professional;
g) EC-Council Certified Ethical Hacker (CEH);
h) EC-Council Licensed Penetration Tester Master (LPT);
i) EC Council Security Analyst (ECSA);
j) EC-Council – Certified Network Defence Architect (CNDA)
k) CompTIA Cybersecurity Analyst (CySA+);
l) CompTIA Security+ (SY0-501 ou SY0-601));
m) CompTIA Security Analytics Professional (CSAP);
n) CompTIA PenTest+;
o) Global Information Assurance Certification (GIAC) Penetration Tester (GPEN);
p) Global Information Assurance Certification (GIAC) Web Application Penetration ROBSON
CLEITON
Tester (GWAPT); NOVAK 25
/04/2022
q) Global Information Assurance Certification (GIAC) Certified Intrusion Analyst (GCIA); SGSI TRT9
r) Global Information Assurance Certification (GIAC) Exploit Researcher and Advanced

Penetration Tester (GXPN); PAULO
ROBERTO
NUNES 25
s) OSCP - Offensive Security Certified Professional; /04/2022
DSIR TRT9
t) Penetration Tester Desec Security.

PAULO
As certificações que comprovam a qualificação técnica da equipe da CONTRATADA CELSO
GERVA 26
/04/2022
deverão ser apresentadas ao CONTRATANTE para conferência previamente à SLC TRT9
assinatura do contrato.
Requisitos de Metodologia de Trabalho - Integrante Técnico:
A execução dos serviços pela CONTRATADA será composta, em linhas gerais, pelas
seguintes atividades:
1) Reunião inicial de planejamento do teste de intrusão (pentest);
2) Execução dos testes de intrusão (pentest);
3) Confecção e entrega de relatórios tanto em nível técnico como gerencial, além

da disponibilização das evidências geradas;
4) Apresentação dos resultados e relatórios ao CONTRATANTE;
5) Entrega dos vídeos/conteúdo das apresentações ao CONTRATANTE;
6) Exclusão de quaisquer dados sensíveis/sigilosos do CONTRATANTE da base

de dados da CONTRATADA.
Requisitos de Segurança, sob o ponto de vista técnico - Integrante Técnico:
Os testes de invasão que possam levar a negações de serviço (Denial of Service –

DoS e DDoS – Distributed Denial of Service) deverão ser realizados após autorização
explícita do CONTRATANTE, que definirá os dias, horários e tempo máximo de
indisponibilidade do serviço durante a execução dos testes.
Análise do Mercado de TI (ID 7457907)
Portal do Software Público Brasileiro:
ROBSON
CLEITON
Não aplicável ao serviço contratado. Trata-se de contratação de serviço de teste de NOVAK 25
/04/2022
penetração em rede. SGSI TRT9
Modelo Nacional de Interoperabilidade - MNI: PAULO

ROBERTO
NUNES 25
/04/2022
DSIR TRT9
Não aplicável ao serviço contratado. Trata-se de contratação de serviço de teste de
penetração em rede.
PAULO
CELSO
GERVA 26
Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil: /04/2022
SLC TRT9

Modelo de Requisitos Moreq-Jus:

Adequação do Ambiente do Órgão (ID 7457912)

Necessidade de Adequação - Infraestrutura tecnológica:

penetração em rede. Não há necessidade de adequação de nossa infraestrutura para
realização do teste.
Necessidade de Adequação - Infraestrutura elétrica:

Necessidade de Adequação - Logística de implantação:

Necessidade de Adequação - Espaço físico:

Necessidade de Adequação - Mobiliário:
realização do teste. ROBSON
CLEITON
NOVAK 25
/04/2022
Transferência de Conhecimento: SGSI TRT9
A CONTRATADA deverá entregar ao Tribunal toda e qualquer documentação gerada PAULO

ROBERTO
em meio físico ou digital em função da prestação de serviços, incluindo gravação das NUNES 25
/04/2022
DSIR TRT9
reuniões de apresentação dos relatórios.
Direitos de Propriedade Intelectual: PAULO

CELSO
GERVA 26
/04/2022
SLC TRT9
A CONTRATADA deverá ceder os direitos de propriedade intelectual e direitos autorais
sobre os diversos artefatos técnicos e produtos gerados ao longo da execução do
contrato.

1405 Vetor Processo 274552 Loc 2022.YTYOC - OSRLP

Enviado por

Dados do documento

Descrição original:

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

1405 Vetor Processo 274552 Loc 2022.YTYOC - OSRLP

Enviado por

Direitos autorais:

Formatos disponíveis

PODER JUDICIÁRIO FEDERAL

JUSTIÇA DO TRABALHO ROBSON

Processo: Processo de Contratação - Solução de TI - Teste de ROBERTO

1) Garantir a adequação, modernização e segurança da infraestrutura, sistemas,

2) Assegurar o controle, a conformidade, a rastreabilidade e eficiência sobre os ativos

3) Realizar varreduras em busca de vulnerabilidades - Portaria CNJ 162/2021 -

Requisitos de Capacitação - Integrante Demandante e Técnico:

A contratação do serviço não envolverá treinamento ou capacitação para membros

Requisitos Legais - Integrante Demandante:

1) Lei de Licitações e Contratos Administrativos - Lei nº 14.133/2021.

2) Resolução CNJ 182/2013 que dispõe sobre diretrizes para as contratações de

Requisitos de Manutenção - Integrante Demandante:

1) A CONTRATADA deverá prestar suporte ao CONTRATANTE durante o período de

1) A CONTRATADA deverá participar de reunião com equipe técnica da PAULO

2) O CONTRATANTE deverá aprovar os documentos apresentados pela

3) A CONTRATADA deverá concluir a execução dos testes de intrusão em até 30

4) A CONTRATADA deverá entregar ao CONTRATANTE relatório de execução dos

5) O CONTRATANTE deverá avaliar e aprovar o relatório em até 5 (cinco) dias úteis

6) A CONTRATADA deverá realizar apresentação do resultado dos testes em até 5

Requisitos de Segurança da Informação - Integrante Demandante e Técnico.:

1) A CONTRATADA deverá seguir todas as Normas, Políticas e Procedimentos de

1.1) Observar, principalmente, a Política de Segurança da Informação (PSI)

2.2) Todos os profissionais da CONTRATADA envolvidos na execução dos

Requisitos Sociais, Ambientais e Culturais - Integrante Demandante:

1) Estar habilitada juridicamente e em regularidade fiscal, social e trabalhista,

2) Cumprir o disposto no Inc. XXXIII, Art. 7º da Constituição Federal de 1988, quanto

Requisitos de Arquitetura Tecnológica - Integrante Técnico:

CARACTERÍSTICAS DOS SERVIÇOS

Reunião inicial de planejamento o teste de intrusão (pentest).

1. A CONTRATADA deverá participar de reunião com equipe técnica

8. Todos os profissionais da CONTRATADA envolvidos na execução dos serviços,

sigilo de todas as informações que tenham acesso durante a execução dos

1. A CONTRATADA deverá concluir a execução dos testes de intrusão em até 30

11. A execução dos testes incluirá, no mínimo, as seguintes atividades:

12. Os testes poderão explorar elementos relacionados ao escopo, como:

12.1) Aplicações web;

13. Os testes devem incluir minimamente as vulnerabilidades listadas em “2021

13.1 Tanto o Testing Guide Versão 4 da OWASP como o CWE – Common

14. Os testes de intrusão (pentest) devem cobrir, o mínimo, as fases descritas

Fase de teste Teste Descrição

Consiste em navegar pela aplicação obtendo

especializados como o Shodan assinaturas

Realizar varreduras na superfície da

Enumerar as aplicações hospedadas no

Análise d e Analisar o conteúdo das mensagens geradas

Procurar por serviços desatualizados, sem

Testar a configuração da comunicação entre

Infraestrutura operacional, banco de dados, CMS e etc)

Buscar por informações sobre as tecnologias PAULO

Identificar as interfaces administrativas

Verificação de Verificar os métodos HTTP suportados pelo

Verificar a existência de bugs

Verificar os dados que os usuários inserem

Teste de força Identificar combinações usuário/senha

Identificar os vetores de ataque sobre

Identificar as condições que produzem

Teste d e Verificar a possibilidade de executar ataques

Teste de contorno Verificar o esquema de autorização a fim de

Avaliação do processo de validação da

Manipular os dados contidos em cabeçalhos

Verificar a inclusão de entradas contendo

Teste d e Verificar se é possível trancar contas de